H6月8日,Humanity Protocol遭遇了项目历史上最具破坏性的安全事件之一——在一次协同攻击中,以太坊和BNB Chain上共计超过3600万美元资产被盗。攻击者利用泄露的私钥夺取了项目桥接基础设施的控制权,并铸造了数亿枚未授权的代币。
消息传开后,该协议的原生代币H在数小时内从约0.73美元暴跌至0.07美元以下,日内跌幅超过80%。
Humanity Protocol团队次日上午在X平台确认了该事件:“截至目前,两条链上约有3600万美元以上资产被盗并抛售。这是由于一名员工的笔记本电脑被入侵后发生的漏洞所致。”
创始人Terence Kwok证实了该事件,并承认员工的私钥可能被截获。链上调查员ZachXBT迅速对团队的声明提出质疑,认为该事件可能涉及项目的做市商,而非纯粹的外部笔记本电脑入侵。调查仍在进行中。
攻击究竟是如何发生的
此次攻击的技术执行是复杂的、多阶段的——表明攻击者早有准备,而非临时利用单一漏洞。
在以太坊上,攻击者获得了控制Hyperlane桥ProxyAdmin的六个Gnosis Safe所有者密钥中的三个。凭借对多数密钥的控制,攻击者将ProxyAdmin的所有权转移到自己的钱包——实际上夺取了桥接合约的管理权限。随后他们将桥接升级为恶意实现,并在单笔交易中盗取了约1.412亿枚H代币。
在BNB Chain上,类似的操作同步进行。攻击者入侵了控制BSC桥的五个Safe所有者密钥中的三个。他们执行了相同的ProxyAdmin夺取操作,但这次部署了一个包含无限铸造功能的恶意实现。利用该功能,攻击者分两批直接向自己的钱包铸造了2亿零5枚H代币——凭空创造代币后将其抛售到市场中。
以太坊上的桥接盗取和BSC上的无限铸造共同制造了协调性的供应冲击,市场立即以严重价格崩盘的方式承受了冲击。受影响桥接的所有充值提现均已暂停,Humanity Protocol表示正在与交易所和执法机构合作,以尽量减少进一步损失,并尝试追回被盗资金。
攻击核心中的架构失败
原本应保护Humanity Protocol桥接基础设施的Gnosis Safe多签结构成为了主要攻击载体。多签钱包需要多个私钥来授权交易——其安全假设是,单凭任何一个密钥被入侵都不足以授权恶意操作。Humanity的桥接由六分之六和五分之五的Safe配置保护。
此次攻击表明,如果多个密钥存储在同一关联设备上,或由设备可能同时被入侵的个人管理,这种保护便会失效。如果通过一次笔记本电脑入侵——或通过一组相关被入侵设备——就能访问六个密钥中的三个,那么多签保护实际上只是理论上的,而非可运作的。
在BSC上部署的无限铸造功能尤其令人担忧。创建并部署一个具有无限制代币创建能力的恶意智能合约实现,需要大量的技术准备和预部署测试。这不是那种可以临时发起的攻击——它需要一份预先准备好的合约,一旦获得ProxyAdmin访问权限,就能立即部署。
攻击降临前已存在的争议
此次漏洞发生的时机,正值该项目早已面临社区强烈批评——而两者的叠加造成了远超数字本身的损害。
今年早些时候,Humanity Protocol曾发起一项推广活动,将价值220万美元的H代币分配给Kaito质押者和被称为“Humanity Yappers”的社区参与者。数以千计的用户根据公布的奖励结构参与了活动。活动结束后,最终的分配规则从未明确确立——社区成员注意到,项目创始人显然将承诺的10万美元活动奖励中的6万美元划入了自己的钱包。
不明确的奖励结构与创始人从社区池中自分配奖励相结合,恰好造成了信任缺失——这种缺失使得随后的安全漏洞变得毁灭性而非仅仅是损害性的。一个本就质疑项目领导层是否诚信行事的社区,如今目睹了超过3600万美元从协议中流失,而ZachXBT暗示,笔记本电脑入侵的说法可能无法完全解释这一切。
接下来会发生什么
Humanity Protocol正与执法机构和交易所合作伙伴合作,追踪并可能追回被盗资金。参与攻击的链上地址是公开可见的,安全社区正在积极监控这些地址。
该协议的长期生存能力面临比追回资金更严峻的问题。Humanity Protocol的既定使命涉及数字身份验证和构建信任基础设施——一个建立在身份与信任基础上的项目,既遭遇治理争议又面临灾难性安全漏洞的讽刺意味,对于目前持有毫无价值代币的社区来说,并不陌生。
ZachXBT提出的做市商可能参与其中的说法,为社区正在关注的情况增添了另一个维度。如果攻击向量不仅限于一台被入侵的笔记本电脑,还包括一个对协议金融基础设施拥有特权访问权限的实体,那么团队公开提供的解释就远远不够了。
调查仍在进行中。H代币的交易价格仍仅为攻击前的一小部分。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注